Аутификация в Kibana

Lebedev · September 20, 2019, 7:39pm

Коллеги, привет.

Подскажите,
У меня кластер эластика состоит из 9 нод
возможно ли настроить обычную аутификацию в Кибана, без включения SSL во всем кластере?

Igor_Motov · September 20, 2019, 7:44pm

А в чем смысл аутентификации без SSL?

Lebedev · September 20, 2019, 7:49pm

Пользователи не смогут удалять индексы из Кибаны и выполнять другие административные функции.

Igor_Motov · September 20, 2019, 7:57pm

Понял, цель - создать иллюзию безопасности . Если траффик не шифруется то это безопасно только до первого умника который смог перехвать траффик. К сожалению, с этим помочь не смогу.

Lebedev · September 20, 2019, 8:10pm

Игорь, нравится мне Ваш подход=)

Хорошо, если с SSL. Поправьте меня в моих размышлениях.
У меня 9 нод эластика (3 мастера +6 дата) + 2 LS + 1 кибана, каждый их элементов кластера установлен на отдельном сервере.
и Центр Подтверждения сертификатов, на всю компанию.

Для включения SSL, мне потребуется:
Сгенерировать cert на любой ноде эластика
Подписать его в ЭЦП
Следовать инструкции по ссылке Configuring SSL, TLS, and HTTPS to secure Elasticsearch, Kibana, Beats, and Logstash | Elastic Blog

Я правильно понимаю порядок действий?

Lebedev · September 20, 2019, 8:24pm

Хотя с этим вопросом лучше к ИБ обратиться=)
Игорь, спасибо и доброй ночи!

KOTOXJle6 · September 21, 2019, 2:30pm

Я правильно понимаю что доступ в кибану должны иметь только определенные пользователи? Можно настроить авторизацию через nginx. Это доп. сервис, но можно обойтись без SSL.

Lebedev · September 21, 2019, 4:06pm

Да, можно через Web сервер решить задачу. У меня некоторое замешательство произошло. Если нода одна я могу настроить обычную авторизацию, а что делать когда нод больше одной так и не нашел информации. В связи с этим и возник вопрос.

Lebedev · September 22, 2019, 6:46pm

Игорь, с TLS между нодами и LS картина более или менее понятна. А как быть с Beat-ами. В их конфигурацию нужно подкладывать сертификат при отправке данных из Beats в LS, а в Ingest Node? Или если трафик идет в LS из Rsyslog например.

Igor_Motov · September 23, 2019, 1:50pm

Если вы настроите TLS на elasticsearch, то надо менять конфигурацию тех компонентов, которые на прямую посылают информацию в elasticsearch. То есть в вашем случае
это logstash.

Lebedev · September 28, 2019, 10:54am

Игорь, приветствую!
У меня получилось настроить безопасность кластера c сертификатами. Подскажите, столкнулся с ситуацией. При настройке MetricBeat и FileBeat в output я прописываю LS (данные успешно передаются в LS без сертификата). Но в xpack.мониторинг и в установку Dashboard у меня прописывается Elastic и Kibana соотвественно (c SSL). Beats ругается на то, что ему нужен сертификат типа setup_Kibana.crt или что то в этом роде. Получается что для установки Dashboard мне нужен другой сертификат или как правильно готовить данный механизм?

Igor_Motov · September 29, 2019, 9:54am

А как вы SSL в Kibana настроили? При установке дашбордов beat обращается напрямую c Kibana, поэтому ему нужны сертификаты kibana а не elasticsearch.

system · October 27, 2019, 9:54am

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.